Linux nf_conntrack(一)-连接建立

已于 2024-03-08 11:09:22 修改
阅读量724 收藏 25
点赞数 17
文章标签: linux 网络
于 2023-12-07 16:38:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrtyxr/article/details/131625568
版权

目录

1.连接的概念

2.连接的作用

3.连接的实现

1.连接的概念

        网络安全服务中,存在连接的概念,类似应用层的会话,连接信息由交互双方的五元组组成(srcip、dstip、srcport、dstport、protocol),记录了报文交互双方的基础信息,从而确定一条双向报文流;

2.连接的作用

        网络安全业务正是基于连接展开的,关注的是针对一个连接正反向报文的处理,比如nat,当首包到来时基于报文信息创建连接,并记录针对该连接安全业务处理的相关信息,如nat 原始ip,转换后ip等等,后续同一连接的报文直接查会话进行相关处理,根据连接记录查询针对报文进行的安全业务处理,缩短了后续报文安全业务处理的步骤,提高服务处理的性能,此外连接跟踪也是一种查询定位报文经过哪些安全业务模块处理的手段。

3.连接的实现

        linux 内核中连接的建立,完整性检查等是基于内核Netfilter框架中的HOOK机制实现;即在报文处理过程中的固定位置通过函数回调机制插入不同的处理函数,同一HOOK点可以插入多个处理函数,不同处理函数依据优先级顺序处理。具体如下所示:

                如图所示在Linux报文转发处理过程中,有5个HOOK点,分别为PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING,具体到连接相关处理的HOOK处理的相关定义如下:

static const struct nf_hook_ops ipv4_conntrack_ops[] = {
	{
		.hook		= ipv4_conntrack_in,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_conntrack_local,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
	{
		.hook		= ipv4_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
};

  连接建立

         通过连接的概念可知,连接是针对三层报文而言的,代码走读,跟踪报文处理流程,以IPV4为例,ip_rcv内部发现第一个HOOK点:

return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING,
		       net, NULL, skb, dev, NULL,
		       ip_rcv_finish);

static inline int NF_HOOK(uint8_t pf, unsigned int hook, struct net *net, struct sock *sk, struct sk_buff *skb, struct net_device *in, struct net_device *out, int (*okfn)(struct net *, struct sock *, struct sk_buff *))

        通过NF_HOOK 的定义可知,这里对应NF_INET_PRE_ROUTING 位置,具体到conntrack为:

{
		.hook		= ipv4_conntrack_in,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},

        即对应ipv4_conntrack_in 处理函数,同时这里需要注意的是priority(优先级)字段,这里值为:NF_IP_PRI_CONNTRACK (-200),如前所述同一个HOOK点可以挂载多个HOOK处理函数,这些函数按优先级顺序逐个处理,优先级数值越小,优先级越高;因此当需要挂载新的HOOK处理函数时,根据报文处理需要在连接建立前或后而设定优先级,目前已知不同模块HOOK处理函数对应的优先级如下:

enum nf_ip_hook_priorities {
	NF_IP_PRI_FIRST = INT_MIN,
	NF_IP_PRI_RAW_BEFORE_DEFRAG = -450,
	NF_IP_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP_PRI_RAW = -300,
	NF_IP_PRI_SELINUX_FIRST = -225,
	NF_IP_PRI_CONNTRACK = -200,
	NF_IP_PRI_MANGLE = -150,
	NF_IP_PRI_NAT_DST = -100,
	NF_IP_PRI_FILTER = 0,
	NF_IP_PRI_SECURITY = 50,
	NF_IP_PRI_NAT_SRC = 100,
	NF_IP_PRI_SELINUX_LAST = 225,
	NF_IP_PRI_CONNTRACK_HELPER = 300,
	NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
	NF_IP_PRI_LAST = INT_MAX,
};

         由此可见,NAT处理,连接确认(CONNTRACK_CONFIRM)等依据优先级顺序处理在连接建立处理之后,书归正传,回归ipv4_conntrack_in处理函数。

ipv4_conntrack_in函数

static unsigned int ipv4_conntrack_in(void *priv, struct sk_buff *skb, 
                  const struct nf_hook_state *state)
{
	return nf_conntrack_in(skb, state);
}

        ipv4_conntrack_in这里只是调用了函数nf_conntrack_in,主要处理逻辑在nf_conntrack_in函数中,继续代码跟踪;

unsigned int
nf_conntrack_in(struct sk_buff *skb, const struct nf_hook_state *state)
{
	enum ip_conntrack_info ctinfo; /* 表示连接状态的枚举数值 */
	struct nf_conn *ct, *tmpl;
	u_int8_t protonum;
	int dataoff, ret;

    /* 如果报文(skb)属于已建立的连接或打上不需连接跟踪的标记,则直接跳转 */
	tmpl = nf_ct_get(skb, &ctinfo);
	if (tmpl || ctinfo == IP_CT_UNTRACKED) {
		/* Previously seen (loopback or untracked)?  Ignore. */
		if ((tmpl && !nf_ct_is_template(tmpl)) ||
		     ctinfo == IP_CT_UNTRACKED)
			return NF_ACCEPT;
		skb->_nfct = 0;
	}

	/* rcu_read_lock()ed by nf_hook_thresh */
    /* 获取L4(传输层)协议及L4数据相对一报文头部的偏移,实质获取IP头数据后面的部分起始位置,如果是ICMP协议,则为ICMP报文头部位置 */
	dataoff = get_l4proto(skb, skb_network_offset(skb), state->pf, &protonum);
	if (dataoff <= 0) {
		NF_CT_STAT_INC_ATOMIC(state->net, invalid);
		ret = NF_ACCEPT;
		goto out;
	}

    /* ICMP报文需要特殊处理 */
	if (protonum == IPPROTO_ICMP || protonum == IPPROTO_ICMPV6) {
		ret = nf_conntrack_handle_icmp(tmpl, skb, dataoff,
					       protonum, state);
		if (ret <= 0) {
			ret = -ret;
			goto out;
		}
		/* ICMP[v6] protocol trackers may assign one conntrack. */
		if (skb->_nfct)
			goto out;
	}
repeat:
    /* 建立连接、连接主要逻辑 */
	ret = resolve_normal_ct(tmpl, skb, dataoff,
				protonum, state);
	if (ret < 0) {
		/* Too stressed to deal. */
		NF_CT_STAT_INC_ATOMIC(state->net, drop);
		ret = NF_DROP;
		goto out;
	}

    /* 获取已建立的连接信息 */
	ct = nf_ct_get(skb, &ctinfo);
	if (!ct) {
		/* Not valid part of a connection */
		NF_CT_STAT_INC_ATOMIC(state->net, invalid);
		ret = NF_ACCEPT;
		goto out;
	}

    /* 依据连接信息,协议处理报文 */
	ret = nf_conntrack_handle_packet(ct, skb, dataoff, ctinfo, state);
	if (ret <= 0) {
		/* Invalid: inverse of the return code tells
		 * the netfilter core what to do */
		nf_ct_put(ct);
		skb->_nfct = 0;
		/* Special case: TCP tracker reports an attempt to reopen a
		 * closed/aborted connection. We have to go back and create a
		 * fresh conntrack.
		 */
		if (ret == -NF_REPEAT)
			goto repeat;

		NF_CT_STAT_INC_ATOMIC(state->net, invalid);
		if (ret == -NF_DROP)
			NF_CT_STAT_INC_ATOMIC(state->net, drop);

		ret = -ret;
		goto out;
	}

	if (ctinfo == IP_CT_ESTABLISHED_REPLY &&
	    !test_and_set_bit(IPS_SEEN_REPLY_BIT, &ct->status))
		nf_conntrack_event_cache(IPCT_REPLY, ct);
out:
	if (tmpl)
		nf_ct_put(tmpl);

	return ret;
}

   根据上述处理逻辑,我们重点关注连接建立处理过程,主要逻辑在resolve_normal_ct()内部中。

resolve_normal_ct函数

static int
resolve_normal_ct(struct nf_conn *tmpl,
		  struct sk_buff *skb,
		  unsigned int dataoff,
		  u_int8_t protonum,
		  const struct nf_hook_state *state)
{
	const struct nf_conntrack_zone *zone;
	struct nf_conntrack_tuple tuple;
	struct nf_conntrack_tuple_hash *h;
	enum ip_conntrack_info ctinfo;
	struct nf_conntrack_zone tmp;
	u32 hash, zone_id, rid;
	struct nf_conn *ct;

    /* 依据报文信息获取报文五元组信息,srcip,dstip,srcport, dstport, proto */
	if (!nf_ct_get_tuple(skb, skb_network_offset(skb),
			     dataoff, state->pf, protonum, state->net,
			     &tuple))
		return 0;

	/* look for tuple match, 查找报文五元组匹配区域,通常为默认zone */
	zone = nf_ct_zone_tmpl(tmpl, skb, &tmp);
    /* 通常为默认区域id 0 */
	zone_id = nf_ct_zone_id(zone, IP_CT_DIR_ORIGINAL);
    /* 根据报文五元组信息、区域id、网络命名空间net,查找当前报文五元组信息是否在已有连接五元组hash链表中,进而确定报文是否属于已已建立连接或不存在对应连接,若不存在,则后续建立新的连接,
    这里查找匹配,先基于报文原始方向(正向),后基于回复方向(反向) */
	hash = hash_conntrack_raw(&tuple, zone_id, state->net);
	h = __nf_conntrack_find_get(state->net, zone, &tuple, hash);

	if (!h) {
		rid = nf_ct_zone_id(zone, IP_CT_DIR_REPLY);
		if (zone_id != rid) {
			u32 tmp = hash_conntrack_raw(&tuple, rid, state->net);

			h = __nf_conntrack_find_get(state->net, zone, &tuple, tmp);
		}
	}

    /* 依据报文正反向都未匹配现有链接五元组信息,说明报文对应连接不存在,则建立新的连接 */
	if (!h) {
        /* 连接建立并依据报文、五元组信息初始化 */
		h = init_conntrack(state->net, tmpl, &tuple,
				   skb, dataoff, hash);
		if (!h)
			return 0;
		if (IS_ERR(h))
			return PTR_ERR(h);
	}
    /* 内部使用了container_of,依据五元组信息地址获取对应的连接地址 */
	ct = nf_ct_tuplehash_to_ctrack(h);

	/* It exists; we have (non-exclusive) reference. */
    /* 依据报文反向,以及连接状态设置连接状态值 */
	if (NF_CT_DIRECTION(h) == IP_CT_DIR_REPLY) {
		ctinfo = IP_CT_ESTABLISHED_REPLY;
	} else {
		unsigned long status = READ_ONCE(ct->status);

		/* Once we've had two way comms, always ESTABLISHED. */
        /* 一旦看到回复方向的报文,说明连接已建立 */
		if (likely(status & IPS_SEEN_REPLY))
			ctinfo = IP_CT_ESTABLISHED;
		else if (status & IPS_EXPECTED)
			ctinfo = IP_CT_RELATED;
		else
			ctinfo = IP_CT_NEW;
	}
    /* 将连接、连接状态信息与SKB相关联 */
	nf_ct_set(skb, ct, ctinfo);
	return 0;
}

         从上述逻辑来看,reslove_normal_ct函数主要做了如下几件事:

        1)获取报文五元组信息

        2)依据报文、报文五元组信息、区域 、网络命名空间等建立并初始化新的连接

        3)设置连接状态

        4)将连接、连接状态信息关联到报文(skb)

        五元组信息是区分连接的唯一标识,因此根据报文五元组信息可以判断报文是否属于已有连接;建立连接处理集中于init_conntrack函数,继续跟踪。

init_conntrack函数

static noinline struct nf_conntrack_tuple_hash *
init_conntrack(struct net *net, struct nf_conn *tmpl,
	       const struct nf_conntrack_tuple *tuple,
	       struct sk_buff *skb,
	       unsigned int dataoff, u32 hash)
{
	struct nf_conn *ct;
	struct nf_conn_help *help;
	struct nf_conntrack_tuple repl_tuple;
#ifdef CONFIG_NF_CONNTRACK_EVENTS
	struct nf_conntrack_ecache *ecache;
#endif
	struct nf_conntrack_expect *exp = NULL;
	const struct nf_conntrack_zone *zone;
	struct nf_conn_timeout *timeout_ext;
	struct nf_conntrack_zone tmp;
	struct nf_conntrack_net *cnet;

    /* 依据正向五元组信息获取反向(回复)报文五元组信息,二者之间存在对应关系,sip、dip、sport、dport 成相反关系,协议不变 */
	if (!nf_ct_invert_tuple(&repl_tuple, tuple))
		return NULL;

	zone = nf_ct_zone_tmpl(tmpl, skb, &tmp);
    /* 分配连接结构体变量内存并初始化 */
	ct = __nf_conntrack_alloc(net, zone, tuple, &repl_tuple, GFP_ATOMIC,
				  hash);
	if (IS_ERR(ct))
		return (struct nf_conntrack_tuple_hash *)ct;

    /* 与功能宏有关,默认返回true */
	if (!nf_ct_add_synproxy(ct, tmpl)) {
		nf_conntrack_free(ct);
		return ERR_PTR(-ENOMEM);
	}

	timeout_ext = tmpl ? nf_ct_timeout_find(tmpl) : NULL;

	if (timeout_ext)
		nf_ct_timeout_ext_add(ct, rcu_dereference(timeout_ext->timeout),
				      GFP_ATOMIC);

    /* 添加连接相关扩展信息 */
	nf_ct_acct_ext_add(ct, GFP_ATOMIC);
	nf_ct_tstamp_ext_add(ct, GFP_ATOMIC);
	nf_ct_labels_ext_add(ct);

#ifdef CONFIG_NF_CONNTRACK_EVENTS
	ecache = tmpl ? nf_ct_ecache_find(tmpl) : NULL;

	if ((ecache || net->ct.sysctl_events) &&
	    !nf_ct_ecache_ext_add(ct, ecache ? ecache->ctmask : 0,
				  ecache ? ecache->expmask : 0,
				  GFP_ATOMIC)) {
		nf_conntrack_free(ct);
		return ERR_PTR(-ENOMEM);
	}
#endif

	cnet = nf_ct_pernet(net);
	if (cnet->expect_count) {
		spin_lock_bh(&nf_conntrack_expect_lock);
		exp = nf_ct_find_expectation(net, zone, tuple);
		if (exp) {
			/* Welcome, Mr. Bond.  We've been expecting you... */
			__set_bit(IPS_EXPECTED_BIT, &ct->status);
			/* exp->master safe, refcnt bumped in nf_ct_find_expectation */
			ct->master = exp->master;
			if (exp->helper) {
				help = nf_ct_helper_ext_add(ct, GFP_ATOMIC);
				if (help)
					rcu_assign_pointer(help->helper, exp->helper);
			}

#ifdef CONFIG_NF_CONNTRACK_MARK
			ct->mark = READ_ONCE(exp->master->mark);
#endif
#ifdef CONFIG_NF_CONNTRACK_SECMARK
			ct->secmark = exp->master->secmark;
#endif
			NF_CT_STAT_INC(net, expect_new);
		}
		spin_unlock_bh(&nf_conntrack_expect_lock);
	}
	if (!exp && tmpl)
		__nf_ct_try_assign_helper(ct, tmpl, GFP_ATOMIC);

	/* Other CPU might have obtained a pointer to this object before it was
	 * released.  Because refcount is 0, refcount_inc_not_zero() will fail.
	 *
	 * After refcount_set(1) it will succeed; ensure that zeroing of
	 * ct->status and the correct ct->net pointer are visible; else other
	 * core might observe CONFIRMED bit which means the entry is valid and
	 * in the hash table, but its not (anymore).
	 */
	smp_wmb();

	/* Now it is going to be associated with an sk_buff, set refcount to 1. */
	refcount_set(&ct->ct_general.use, 1);

	if (exp) {
		if (exp->expectfn)
			exp->expectfn(ct, exp);
		nf_ct_expect_put(exp);
	}

    /* 返回正向的五元组hash节点地址 */
	return &ct->tuplehash[IP_CT_DIR_ORIGINAL];
}

        至此,一个新的连接已经建立,连接处理还包含许多其他复杂的处理,比如连接完整性确认、连接状态变化、扩展信息用途、父子连接等问题,稍后讨论。

        本着学习的态度,写下了这篇博客,可能存在误解或不清楚的地方,欢迎大家多提意见,共同学习讨论。

进化中的码农
关注
  • 17
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
nf_conntrack_ecache.rar_通讯编程_Unix_Linux_
08-11
Event cache for netfilter.
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
nf_conntrack连接跟踪机制
喝醉酒的小白
08-11 767
网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。
Iptables之nf_conntrack模块
u011029104的专栏
02-18 156
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
libnetfilter_conntrack-1.0.6-1.el7_3.x86_64.rpm
11-30
离线安装包,亲测可用
linux iptables nf_conntrack 简介
whatday的专栏
01-02 2906
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 5788
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立连接) 很多人以为 Linux 经过这么多年优化,默认参...
nf_conntrack
weixin_34236497的博客
04-11 755
(服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
Linux系统nf_conntrack连接跟踪机制简介
qq_36382062的博客
05-11 7565
1、前言 前段时间接手的一个连接跟踪表满导致网络不通的问题,因此对linux系统的连接跟踪模块进行了学习。本文梳理一下目前对nf_conntrack模块的一些个人理解。 2、连接跟踪机制 背景知识:netfilter Netfilter是一个内核架构,是集成到linux内核协议栈的一套防火墙系统,可通过用户空间(iptables等)的工具来把相关配置下发给Netfilt...
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 217
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 890
Linux 基本指令
Linux】详解信号产生的方式
m0_74265792的博客
04-26 1995
Linux】详解信号产生的方式
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 685
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 第十八章
最新发布
一怀明月的博客
05-01 1063
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
nf_conntrack结构体
07-13
`nf_conntrack` 是 Linux 内核中用于连接追踪的结构体。它被定义在 `<linux/netfilter/nf_conntrack.h>` 头文件中。该结构体用于跟踪网络连接的状态和相关信息。以下是 `nf_conntrack` 结构体的部分成员: ```c struct nf_conntrack { struct hlist_node tuplehash[NF_CT_MAX_TUPLES]; enum ip_conntrack_info ctinfo; unsigned int status; // ... }; ``` `nf_conntrack` 结构体的主要成员包括: - `tuplehash`: 哈希表数组,用于存储连接的五元组信息,每个元素对应不同类型的五元组(如源IP、目标IP、源端口、目标端口、协议)。 - `ctinfo`: 连接的状态信息,例如 `IP_CT_NEW`、`IP_CT_ESTABLISHED` 等。 - `status`: 连接的当前状态,以位掩码形式表示,用于跟踪和记录连接的不同属性和标志。 `nf_conntrack` 结构体还包含其他成员,用于存储与连接相关的信息,如连接追踪的超时时间、网络接口等。这些成员的具体定义可以在内核源代码中的 `nf_conntrack.h` 头文件中找到。 请注意,具体的结构体成员和定义可能会因不同的内核版本而有所变化。如果您使用的是其他内核版本,请参考相应版本的内核源代码或文档以获取准确的结构体定义和成员信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值